好了av第四综合无码久久_国产精品一区理论片_国产精品天天狠天天看_亚洲尤码不卡av麻豆_亚洲一区二区三区自拍天堂

ISO27001信息安全管理體系如何做好處是什么

瀏覽量:1628 編輯:admin 來源:互聯(lián)網(wǎng)上傳更新:2018-05-02

ISO27001-證書-拼圖.jpg

在人類邁入信息息時代的今天,組織在分享著現(xiàn)代科技帶來便利的同時,也面臨著信息安全的威脅。如何既能享用現(xiàn)代信息系統(tǒng)的快捷方便,又能充分防范信息的損壞和泄露,已成為當(dāng)前企業(yè)迫切需要解決的問題。專家研究表明,信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。信息安全可使信息避免一系列威脅,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失,獲取相關(guān)方的信任,以最大限度地獲得投資和業(yè)務(wù)的回報。

信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分:①BS7799-1,信息安全管理實施規(guī)則;②BS7799-2,信息安全管理體系規(guī)范。第一部分對信息安全管理給出建議,供負(fù)責(zé)在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。

基于國際標(biāo)準(zhǔn)ISO/IEC27001:2005的信息安全管理體系(Information Security Management System, ISMS)是目前國際上先進(jìn)的信息安全解決方案,正在被越來越多的組織所采用。它運用PDCA過程方法和133項信息安全控制措施來幫助組織解決信息安全問題,實現(xiàn)信息安全目標(biāo)。ISMS認(rèn)證是一個組織證明其信息安全水平和能力符合國際標(biāo)準(zhǔn)要求的有效手段,它將幫助組織節(jié)約信息安全成本,增強客戶、合作伙伴等相關(guān)方的信心和信任,提高組織的公眾形象和競爭力。

ISO/IEC27000系列編號,是信息安全管理體系標(biāo)準(zhǔn)規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn):

ISO 27000 原理與術(shù)語

ISO 27001 信息安全管理體系—要求 

ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范 (ISO/IEC 17799:2005)

ISO 27003 信息安全管理體系—風(fēng)險管理

ISO 27004 信息安全管理體系—指標(biāo)與測量 ISO 27005 信息安全管理體系—實施南 

ISO 27003 信息安全管理體系—風(fēng)險管理

ISO 27004 信息安全管理體系—指標(biāo)與測量

ISO 27005 信息安全管理體系—實施指南

ISO27001認(rèn)證流程

第一階段現(xiàn)狀調(diào)研

從日常運維、管理機制、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研,通過培訓(xùn)使貴公司相關(guān)人員全面了解信息安全管理的基本知識。包括:

(1)項目啟動:前期溝通,實施計劃,項目小組,資源支持,啟動會議。

(2)前期培訓(xùn):信息安全管理基礎(chǔ),風(fēng)險評估方法。

(3)現(xiàn)狀評估:初步了解信息安全現(xiàn)狀,分析與ISO27001標(biāo)準(zhǔn)要求的差距。

(4)業(yè)務(wù)分析:訪談?wù){(diào)查,核心與支持業(yè)務(wù),業(yè)務(wù)對資源的需求,業(yè)務(wù)影響分析。

第二階段風(fēng)險評估

對貴公司信息資產(chǎn)進(jìn)行資產(chǎn)價值、威脅因素、脆弱性分析,從而評估貴公司信息安全風(fēng)險,選擇適當(dāng)?shù)拇胧?、方法實現(xiàn)管理風(fēng)險的目的。

(1)資產(chǎn)識別:識別貴公司的各種信息資產(chǎn)。

(2)風(fēng)險評估:重要資產(chǎn)、威脅、弱點、風(fēng)險識別與評估。

第三階段管理策劃

根據(jù)貴公司對信息安全風(fēng)險的策略,制定相應(yīng)信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等,形成完整的信息安全管理系統(tǒng)。

(1)文件編寫:編寫ISMS各級管理文件,進(jìn)行Review及修訂,管理層討論確認(rèn)。

(2)發(fā)布實施:ISMS實施計劃,體系文件發(fā)布,控制措施實施。

(3)中期培訓(xùn):全員安全意識培訓(xùn),ISMS實施推廣培訓(xùn),必要的考核。

第四階段體系實施

ISMS建立起來(體系文件正式發(fā)布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。

(1)認(rèn)證申請:與認(rèn)證機構(gòu)切磋商,準(zhǔn)備材料申請認(rèn)證,制定認(rèn)證計劃,預(yù)審核。

(2)后期培訓(xùn):審核員等角色的專業(yè)技能培訓(xùn)。

(3)內(nèi)部審核:審核計劃,Checklist,內(nèi)部審核,不符合項整改

(4)管理評審:信息安全管理委員會組織ISMS整體評審,糾正預(yù)防。

第五階段認(rèn)證審核

經(jīng)過一定時間運行,ISMS達(dá)到一個穩(wěn)定的狀態(tài),各項文檔和記錄已經(jīng)建立完備,此時,可以提請進(jìn)行認(rèn)證。

(1)認(rèn)證準(zhǔn)備:準(zhǔn)備送審文件,安排部署審核事項。

(2)協(xié)助認(rèn)證:內(nèi)部審核小組陪同協(xié)助,應(yīng)對審核問題。

實施ISO27001的好處

一 ISO27001 證書的獲得,可以客戶表明,組織/企業(yè)遵循了所有適用的法律法規(guī)。從而保護企業(yè)和相關(guān)方的信息交換、知識產(chǎn)權(quán)、商業(yè)秘密等增加市場的競爭優(yōu)勢。

二 信息安全管理體系的建立可以和外部團體如合作伙伴及客戶與內(nèi)部團體如股東說明組織/企業(yè)為保護信息所做的努力,使其對組織/企業(yè)的信心加強,并有助于在同行業(yè)中的競爭優(yōu)勢,提升客戶滿意度及形象。

三 提升員工信息安全積極態(tài)度,規(guī)范信息安全制度,降低人為所造成的信息安全事故機率。

四 提升公司運營目標(biāo)及達(dá)到業(yè)務(wù)永續(xù)經(jīng)營要求目標(biāo)。

五 滿足組織/企業(yè)對信息安全的要求及期望。

文章引用: ISO27001信息安全管理體系如何做好處是什么 http://www.donsum.com/info/18.html

本文摘自互聯(lián)網(wǎng)或者行業(yè)相關(guān)的雜志,報紙,書籍等資料,如有版權(quán)糾紛,請聯(lián)系我們即可刪除,我們歡迎您分享,本文不允許復(fù)制抄襲

深圳深大睿創(chuàng)檢測技術(shù)有限公司——互聯(lián)網(wǎng)檢測大平臺,專業(yè)從事:3C認(rèn)證 ,CE認(rèn)證 ,CQC認(rèn)證 ,UL認(rèn)證 ,SRRC認(rèn)證 ,FCC認(rèn)證 ,ISO9000認(rèn)證 ,檢測認(rèn)證 ,Rohs認(rèn)證 ,歡迎您登陸我們官網(wǎng) http://www.donsum.com/

新聞中心